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摘 要 安全 两 方 比较 被 广泛 用 于 构建 各 类 安全 计算 协议 ， 如 安全 机 器 学 习 训练 和 推理 等 . 现 有 的 安全 两 方 比较 协 
议 通常 是 一 方 先 获知 比较 结果 再 将 比较 结果 告知 另 一 方 ， 因 此 ， 难 以 防止 先 获知 结果 的 参与 方 自 改 比较 结果 . 为 解 
决 上 述 问 题 ， 本 文 首先 提出 一 种 抗 不 可 信人 参与 者 的 安全 两 方 比较 新 范式 . 随后 ， 本 文采 用 门限 Paillier 密 码 系统 设计 

-个 满足 新 范式 的 安全 两 方 比较 协议 . 该 协议 允许 参与 比较 的 两 方 在 不 泄露 各 自 数 据 的 情况 下 获得 一 致 的 比较 结 
果 ， 且 协议 保证 任何 一 个 参与 者 都 不 能 算 改 比较 结果 . 严格 的 理论 分 析 证 明 表明 本 文 所 提 协 议 是 正确 且 安全 的 . 实验 
结果 显示 本 文 所 提 协 议 在 计算 效率 上 和 功能 上 优 于 已 有 的 安全 两 方 比较 方法 . 相 较 于 现 有 的 安全 两 方 比较 方法 ， 本 
文 协议 的 计算 效率 提高 了 50 倍 . 
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Abstract 


Secure two-party comparison is widely used to build various secure computing protocols (e.g., secure 
training, secure inference). In existing secure two-party comparison protocols, there is always one party 
that obtains a comparison result first, and then the party notifies the comparison result to the other one, 
thus, they are difficult to prevent one party that obtains the comparison result first from tampering with the 
comparison result. To this end, this paper first proposes a new paradigm for secure two-party comparison 
against untrusted parties. Then, a secure two-party comparison protocol (TOMS) satisfying the new paradigm 
is designed based on the threshold Paillier cryptosystem. Each party in TOMS obtains the same comparison 
result without revealing their own data. Moreover, TOMS prevents any party from tampering with the 
comparison results. Strictly theoretical analyses demonstrate the security and correctness of TOMS. Finally, 
the experimental results show that TOMS outperforms the existing secure two-party comparison methods in 
terms of computational efficiency and functionality, and is 50 times faster than previous methods. 
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安全 两 方 比较 (secure two-party comparison ) 
是 指 在 没有 可 信 第 三 方 ， 且 两 个 参与 方 在 不 透 
露 各 自 输入 数据 z 和 y 的 情况 下 ， 输 出 z 和 y 的 大 
小 关系 是 形式 上 ， 两 个 参与 方 Alice 和 Bob 分 别 
以 z 和 wy 作 为 输入 ， 以 不 泄露 各 自 输入 的 方式 共同 
执行 比较 函数 f(x,y) 并 分 别 获得 比较 结果 ww 和 wi， 
BD, (ua, up) — f(x,y). 

安全 两 方 比较 问题 最 早 源 自 姚 期 智 院士 1982 年 
提出 的 百 万 富翁 问题 吊 ， 目 前 已 成 为 安全 多 方 计 
算 领 域 中 的 关键 技术 . 百 万 富翁 问题 具体 是 指 两 个 
百 万 富翁 在 不 透露 双方 具体 财富 数值 的 情况 下 比较 
谁 更 富有 . 姚 期 智 院士 在 提出 百 万 富翁 问题 时 提出 
了 具体 的 解决 方案 ， 但 其 需要 解密 和 验证 操作 的 次 
数 都 是 指数 级 的 ， 导 致 其 时 间 和 空间 复杂 度 花费 巨 
大 ， 现 实 应 用 的 可 能 性 较 低 . 为 提高 安全 两 方 比较 
协议 的 实用 性 ， 姚 期 智 院士 于 1986 年 提出 基于 混淆 
电路 的 安全 两 方 计算 方案 2). 

此 后 ， 研 究 者 们 一 直 专 注 于 设计 更 加 高 效 的 
安全 两 方 比较 解决 方案 . Ioannidis 等 人 上 3j 通 过 并 行 
调用 n 轮 2 选 1 不 经 意 传输 协议 来 解决 安全 两 方 比较 
问题 . 其 中 ，n 为 输入 数据 的 二 进 制 表示 位 数 ， 并 
且 满 足 mw 小 于 不 经 意 传 输 的 安全 参数 大 小 ， 其 运 
行 效 率 较 指数 级 的 运算 有 所 提升 . Li 等 人 | 网 使 用 集 
合 求 交集 判断 元 素 大 小 的 方法 结合 对 称 加 密 方法 
解决 安全 两 方 比较 问题 . 该 方法 使 用 对 称 加 密 提 升 
协议 效率 ， 但 在 输入 数据 规模 较 大 时 其 效率 较 低 . 
Damsgardl5| 通 过 专用 的 DGK 同 态 加 密 方案 实现 整数 
上 的 安全 两 方 比较 协议 ， 该 协议 对 比 其 他 协议 有 
着 更 为 高 效 的 运行 效率 ， 但 是 考虑 到 安全 因素 ， 其 
初始 化 时 间 较 长 ， 需 要 大 约 150 秒 . 目前 ， 安 全 两 方 
比较 问题 解决 方案 不 仅 考 虑 协议 运行 效率 ， 也 考虑 
协议 的 安全 性 . Li 等 人 | 使 用 ElIGamal 加 密 算法 实 
现 半 诚 实 模型 下 的 安全 两 方 比较 问题 解决 方案 ， 并 
通过 零 知识 证 明和 分 割 选择 协议 发 现 潜 在 的 恶意 行 
为 ， 将 该 方案 扩展 到 恶意 模型 下 . 

近年 来 ， 安 全 两 方 比较 被 广泛 应 用 于 拍卖 隐私 
保护 、 机 器 学 习 、 隐 私 保护 外 包 计算 和 区 间 保 密 计 
算 等 领域 人 71 引 . Damle 等 人 上 9] 提出 一 种 安全 两 方 比 
较 问 题 的 解决 方案 ， 并 以 此 为 基础 提出 组 合拍 卖 协 
议 TPACAS. 该 协议 相 较 于 之 前 的 工作 可 以 保护 代 
理 隐私 等 与 拍卖 相关 的 隐私 数据 . Damle 等 人 人 gj 进 
一 步 利 用 半 受 信任 的 第 三 方 代 理 和 以 太 坊 提出 一 
种 可 验证 的 安全 两 方 比较 问题 解决 方案 ， 由 此 实 
现 隐私 保护 的 组 合拍 卖 协 议 ， Abspoel 等 Aij 出 
一 种 基于 勒 让 德 符 号 的 隐私 比较 协议 并 将 其 应 用 
于 安全 神经 网 络 分 类 器 ， 结 果 显 示 在 MNIST 数 据 集 


上 相 较 于 MPyC 内 置 安全 比较 协议 效率 提升 约 5 售 . 
Liu 等 人 民 10 基于 门限 Paillier 密 码 系 统 设计 一 种 基 
于 浮 点 数 的 隐私 保护 外 包 计 算 框 架 POCF BFR 
全 两 方 比较 思想 ， 其 子 协议 SLT (Secure Less Than 
Protocol) 能 判断 两 个 密 文 数据 之 间 的 大 小 关系 . 
Liu 等 人 (liye 用 零 知 识 证 明和 Goldwasser-Micali 加 
密 算法 及 其 异 或 同 态 等 方法 将 区 间 保 密 计算 问题 
(判断 一 个 私密 的 有 理 数 是 否 在 一 个 私密 的 有 理 数 
区 间 内 ) 转化 为 安全 两 方 比较 问题 来 解决 . Guo 等 
人 全 引 基 于 Paillier 密 码 系统 结合 几何 理论 以 及 安全 
两 方 比较 思想 设计 出 一 种 高 效 的 有 理 区 间 保 密 计算 
协议 . 不 仅 如 此 ， 区 间 保 密 计算 问题 还 可 以 扩展 到 
点 和 线段 、 点 和 区 域 的 包含 问题 . Zhao Alik 
计 一 种 密 文 上 的 安全 两 方 比 较 协 议 ， 并 在 此 基础 上 
构造 安全 排序 协议 ， 解 决 集中 式 粒子 群 优化 的 关键 
步骤 存在 的 隐私 泄露 问题 ， 即 从 所 有 粒子 选择 典范 
时 泄露 任何 粒子 的 私有 数据 的 问题 

尽管 研究 者 们 在 提升 安全 两 方 比较 协议 性 能 
和 应 用 安全 两 方 比较 协议 上 做 出 诸多 努力 ， 但 
都 忽视 了 不 可 信 的 参与 方 可 以 算 改 比较 结果 ， 
从 而 破坏 协议 的 可 靠 性 ， 不 失 一 般 性 ， 现 有 的 
安全 两 方 比较 协议 总 是 让 参与 比较 两 方 中 的 一 
A W, Alice) 先 获得 比较 结果 ws， 再 由 Alice 通 
FUBob bk #25 Ru 如 果 Alice 是 可 信 的 ，Alice 设 
Bu, = ws。， 此 时 ，Alice 和 Bob 获 得 相同 的 比较 结 
R. 如 果 Alice 是 不 可 信 的 ，Alice 设 置 u。 关 ua. 此 
时 ，Bob 将 不 能 获得 正确 的 比较 结果 . 因此 ， 目 前 的 
安全 两 方 比较 协议 难以 解决 下 述 问题 : 

问题 : Alice 和 Bob 两 个 富翁 都 看 中 一 处 房产 并 
约定 资产 多 的 人 才 有 最 终 购买 权 ， 且 双方 都 不 愿 
意向 其 他 人 透露 其 总 资产 . 直观 上 ， 采 用 现 有 
的 安全 两 方 比较 协议 可 以 解决 该 问题 . 但 是 由 于 
FRR LARA RA ES CMM, Alice) 极 易 欺骗 另 
—* BS (W, Bob). 在 这 种 情况 下 ， 两 个 富 
翁 Alice 和 Bob 难 以 确信 谁 才 有 最 终 购 买 权 

为 解决 上 述 问 题 ， 本 文 研究 抗 不 可 信和 参与 
者 的 安全 两 方 比较 方法 . 技术 上 ， 该 方法 将 保 
证 参与 比较 的 两 方 Alice 和 Bob 以 私有 数据 z 和 wy 作 
为 输入 ， 执 行 安 全 两 方 比较 协议 (ws,up) + 
f(x,y) 后 ，Alice 和 Bob 总 是 获得 相同 的 比较 结果 
CB, ua = 好 总 成 立 ) ， 且 Alice 和 Bob 都 不 能 算 
改 比 较 结果 . 本 文 的 技术 贡献 可 归纳 为 三 个 方面 : 
(1) 提出 一 种 新 型 抗 不 可 信和 参与 者 的 安全 两 方 比较 

范式 ， 该 范式 规定 参与 比较 的 两 方 获知 相同 的 

比较 结果 ， 且 任何 一 方 都 不 能 算 改 比较 结果 . 
(2) 设计 一 种 抗 不 可 信和 参与 者 的 安全 两 方 比较 协 

议 ， 该 协议 利用 门限 Paillier 密 码 系 统 密 钥 的 可 
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拆 分 性 和 安全 两 方 计算 的 思想 ， 实 现 防止 不 可 
信和 参与 者 的 安全 两 方 比较 . 


(3) 协议 安全 且 高 效 . 严格 的 理论 分 析 证 明 任 何 参 
与 者 算 改 比较 结果 是 计算 不 可 行 的 . 同等 实验 
条 件 下 ， 本 文 提出 协议 的 计算 速度 是 同类 方法 
的 50 售 . 


本 文 的 剩余 部 分 组 织 如 下 : 第 2 章 介 绍 安全 
两 方 比较 问题 的 研究 现状 ; 第 3 章 提出 抗 不 可 信 
参与 者 的 安全 两 方 比 较 范式 ; 第 4 章 首先 给 出 门 
限 Paillier 密 码 系统 ， 接 着 ， 详 细 描述 抗 不 可 信 参 与 
者 的 安全 两 方 比较 协议 的 系统 模型 和 威胁 模型 及 其 
具体 设计 ; 第 5 章 证 明 所 提出 的 安全 协议 满足 选择 
明文 攻击 (Chosen-plaintext attack, CPA) 安全 ， 
并 证 了 明 协 议 满足 抗 不 可 信人 参与 者 的 安全 两 方 比较 
范式 ; 第 6 章 通 过 实验 对 比 现 有 的 安全 两 方 比较 协 
议 ， 评 估 协 议 的 效率 及 可 行 性 ;第 7 章 总 结 全 文 . 


2 相关 工作 


基于 安全 两 方 比较 协议 构造 所 采用 的 底层 技 
术 ， 本 节 简 要 回顾 基于 混淆 电路 的 安全 两 方 比较 方 
法 、 基 于 同 态 加 密 的 安全 两 方 比较 方法 、 以 及 基于 
秘密 共享 的 安全 两 方 比较 方法 . 

基于 混淆 电路 的 安全 两 方 比较 方法 .该 方 
法 将 安全 两 方 比较 问题 转化 为 混淆 电路 (garbled 
circuit) 的 形式 解决 ObliVMII4 通 过 编译 一 
种 ObliVM-lang 的 类 java 语 言 ， 由 此 实现 内 置 的 高 
效 ORAM 方 案 ， 提 升 半 诚 实 模 型 下 安全 两 方 计算 
的 效率 . ABYI1 引 是 一 种 半 诚 实 模型 下 基于 C++ 库 
的 混合 协议 框架 ， 通 过 不 同 协议 之 间 相 互 转化 的 
机 制 ， 开 发 者 可 以 实现 对 计算 效率 的 细 粒 度 控制 . 
ObliVM 和 ABY 都 提供 基于 混淆 电路 (经 free-xor 优 
化 全 61 的 通用 安全 两 方 计算 问题 解决 方案 ， 都 能 
解决 安全 两 方 比较 问题 . 当 协 议 中 存在 恶意 参与 者 
时 ， 通 过 分 割 选择 方法 (cut-and-choose) 能 有 效 防 
止 其 恶意 行为 . 在 分 割 选 择 方 法 中 ， 发 送 方 构造 并 
发 送 多 个 混淆 电路 给 接收 方 ， 接 收 方 随机 验证 部 
分 混淆 电路 的 正确 性 ， 若 检查 到 存在 错误 则 说 明 发 
送 方 存在 恶意 行为 . Canettil17j 等 人 通过 分 割 选择 的 
方法 确保 结果 的 正确 性 . 但 该 方法 要 求 构造 大 量 电 
路 ， 其 计算 和 空间 复杂 度 较 高 ， 实 用 性 较 差 . 

基于 同 态 加 密 的 安全 两 方 比 较 方法 . 由 于 同 
态 加 密 对 密 文 的 运算 能 够 映射 到 明文 上 ， 使 其 能 
够 在 保护 隐私 数据 的 同时 完成 安全 两 方 计算 任务 ， 
所 以 该 方法 十 分 契合 安全 两 方 比较 的 需求 . Lin 等 
人 [8 结合 EIGamal 同 态 加 密 方 案 和 字符 串 集合 求 
交集 的 大 小 比较 方法 ， 通 过 比较 两 方 的 0 编码 和 1 编 
码 并 用 ElGamal 同 态 加 密 方案 保证 1 编码 的 保密 性 ， 


由 此 解决 安全 两 方 比较 问题 . Liu 等 人 由 9j 提 出 两 
方 和 多 方 安全 比较 问题 的 解决 方案 ， 通 过 将 财富 
值 转化 为 向 量 表示 并 结合 Paillier 密 码 系统 的 同 态 
性 解决 安全 两 方 比较 问题 . Li 等 人 20] 提 出 半 诚 实 
模型 和 恶意 模型 下 的 最 大 〈 小 ) 值 比较 协议 ， 通 
过 ElGamal 同 态 加 密 方案 、 向 量化 表示 财富 值 和 零 
知识 证 明 等 方法 解决 两 方 或 多 方 比较 问题 . Liu 等 
人 忆 了 j 基 于 门限 Paillier 密 码 方案 提出 一 套 在 自然 数 
上 的 隐私 保护 外 包 计 算 方法 POCR. 其 子 协 议 SLT 能 
判断 两 个 密 文 的 大 小 关系 ， 解 决 了 安全 两 方 比较 问 
题 . Zhao 等 人 上 22j 改 进 Liu 的 相关 工作 ， 提 出 整数 上 
的 安全 外 包 计算 方法 SOCI， 其 子 协 议 SCMP 不 仅 支 
持 整数 上 的 密 文 比 较 ， 且 能 够 抵抗 选择 明文 攻击 . 
本 文 提出 的 抗 不 可 信和 参与 者 的 安全 两 方 比较 协议 是 
在 SCMP 上 改进 得 到 的 . 

基于 秘密 分 享 的 安全 两 方 比较 方法 . 
Nishidel23j 提 出 一 种 有 效 的 比特 位 分 解 协议 ， 通 
过 比特 位 的 秘密 分 享 实现 安全 两 方 比较 . 文献 | 9] 将 
财富 值 向 量化 ， 使 用 秘密 分 享 的 方法 替代 Paillier 同 
态 加 密 保护 数据 隐私 ， 降 低 计算 复杂 度 ， 实 现 安全 
多 方 比较 . Damgard[24j 提 出 一 种 将 某 一 特定 秘密 的 
多 项 式 共享 转化 为 比特 共享 的 方法 ， 通 过 调用 秘密 
共享 方案 的 乘法 协议 实现 高 效 安全 两 方 比较 . 

表 1 从 功能 上 比较 本 文 所 提 协 议和 现 有 典型 
方案 ， 由 论文 | 中 提出 的 semiSMC 采 用 同 态 加 密 技 
术 ， 论 文 们 9j 提 出 的 semiSSC 采 用 秘密 分 享 技术 ， 
实现 安全 两 方 比较 . ObliVM 山 4 采 用 混淆 电路 构造 
安全 两 方 比较 协议 . ABY [15)%t ELODLIVM [1511k 
在 线 阶段 协议 耗 时 ， 实 现 更 高 效 的 两 方 比较 协议 . 
技术 上 ，ObliVM 和 ABY 都 不 能 防止 不 可 信和 的 参与 
者 算 改 比较 结果 . 本 文 提 出 的 抗 不 可 信和 参与 者 的 安 
全 两 方 比较 协议 (TOMS[) 可 以 防止 不 可 信 的 参 
与 者 . 


表 1 ”安全 两 方 计算 方案 的 比较 
方法 底层 技术 抗 不 可 信和 参与 者 效率 
ObliVM | 混淆 电路 否 中 
ABY | 混淆 电路 否 = 
semiSSC [19 秘密 分 享 E 高 
semiSMC 网 同 态 加 密 E 低 
TOMS 同 态 加 密 是 高 


3 ” 抗 不 可 信和 参与 者 的 安全 两 方 比较 范式 


如 图 1 所 示 ， 在 理想 的 安全 两 方 比较 中 ， 参 与 
者 Alice 和 Bob 分 别 拥 有 私有 数据 z 和 y. 互相 不 信任 


“TOMS: TwO-party coMparison protocol against UntruSted 
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其 中 ，|z| 代 表 zx 的 二 进 制 位 数 . 随后 计算 N = p- 
q， 入 二 (p 一 1)(g 一 1)/2 和 = 二 和 -1 mod N. EMH 
x y 数 L(z) = 完 :， 并 选取 生成 元 9 = N 十 1. 最 后 得 
到 公 钥 pk = (N,g)， 以 及 与 之 对 应 的 私 钥 sk = 入 . 
a U A up tn (Encryption, Enc): 输入 明文 消息 mm e 
wa aa ZNw， 输 出 其 对 应 密 文 [m]. 具体 加 密 算法 如 下 : 
© w [m] = Ene(pk,m) = gr% mod N?. 
其 中 ，7 从 ZX 中 随机 选取 . 
参与 者 Alice 参与 者 Bob 解密 (Decryption，Dec): 输入 密 文 消息 [mj， 
输入 : x 输入 : y 通过 私 钥 sk = 和 解密 后 输出 对 应 明文 mm， 具 体 解 密 
, 算法 如 下 : 
图 1 “理想 的 安全 两 方 比较 . 
图 1 理想 的 安全 两 方 比较 m = Dee(sk, [m]) = L([m]* mod N?)u mod N. 
的 Alice 和 Bob 通 过 可 信 第 三 方 联合 执行 安全 两 方 比 密 钥 拆 分 (Private Key Splitting, KeyS): 输入 


较 函 数 (w。 u) 全 jz 得 出 zc 和 7 之 间 的 大 小 关 
系 ， 在 协议 执行 过 程 中 双方 不 泄露 自己 的 输入 数据 
并 且 都 能 获得 正确 的 结果 ws 和 w， 且 ws = up. 

EXIL 假定 两 个 参与 方 Alice 和 Bob 分 别 以 私 
有 数据 + 和 wy 作为 输入 ， 共 同 执行 两 方 安全 比较 协 
Wi (x, WHR AIRS LRA Ru Mu, 抗 不 可 信和 参 
与 者 的 安全 两 方 比较 协议 范式 满足 如 下 特性 : 


。 机密 性 .安全 两 方 比较 协议 f(x,y) 执 行 完成 
后 ， 参 与 协议 的 Alice 能 确保 自己 的 输入 数 


。 正 确 性 ， 安 全 两 方 比较 协议 执行 f(z,y) 完 
成 后 ， 参 与 协议 的 Alice 和 Bob 分 别 获 得 比 
We Ru Au, Hua = ws 总 成 立 . 换 而 言 
之 ，Alice 和 Bob 总 是 获得 相同 的 比较 结果 . 


。 可 靠 性 . 安全 两 方 比较 协议 执 时 ， 先 得 到 结 
果 的 参与 方 (如 Alice) 不 能 算 改 比较 结果 ww， 
使 关 us。， 且 后 获得 结果 的 参与 方 ( 如 Bob) 
容易 发 现 Alice 是 否 算 改 过 比较 结 

4 ” 抗 不 可 信和 参与 者 的 安全 两 方 比较 协议 


本 节 简 要 介绍 门限 Paillier 密 码 系 统 . HES, Ft 


Hit 


述 TOMS 的 系统 模型 ， 威 胁 模型 以 及 详细 设计 . 最 
后 分 析 TOMS 的 正确 性 . 
4.1 门限 Paillier 密 码 系统 

本 文 描述 一 种 (2,2) 门 限 Paillier 密 码 系统 ， 其 


分 解密 和 门限 解密 算法 . (2,2) 门 限 Paillier 密 码 系 
统 与 传统 Paillier 密 码 系统 2 引 的 主要 区 别 在 于 前 者 
将 Paillier 密 码 系统 的 私 钥 拆 分 成 两 个 部 分 私 钥 . 

密 钥 生成 (Key Generation, KeyGen): Sk» 
安全 参数 ， 且 p，g 为 大 素数 ， 满 足 |p| = lq| = k- 


私 钥 sk = 入， 输出 拆 分 后 的 私 钥 sh1 和 sko. 
体 地 ， 将 私 钥 拆 分 为 两 个 部 分 ， 分 别 为 sk 
和 和 sk = 2， 满足 和 十 和 2 三 0mod 入 ， 且 入 十 
和 2 = 1 mod N. 根据 中 国 剩余 定理 人 261]， 可 以 计 
算得 出 满足 5 = 0 mod 入 Bo = 1 mod N 的 6 = 
和 1 十 和 2 二 入 :mod (A-N). 此 时 ， 选 择 和 1 为 o 比 
特 的 随机 数 ，》Xs = 入./ 十 7 .和 AV 一 和 入， 其 中 m 为 非 
负 整 数 . 

部 分 解密 (Partial Decryption, PDec): 输入 密 
文 消息 [m] 和 部 分 私 钥 sk; (i e {1,2}) ， 输 出 部 
分 解密 的 结果 人 M;， 具 体 部 分 解密 算法 如 下 : 

M; = PDec([m], ski) = [m]^ mod N?. 

门限 解密 (Threshold Decryption, TDec): 输 
入 一 对 部 分 解密 的 结果 Mi ，W2， 输 出 其 对 应 的 
明文 m. 具体 门限 解密 算法 如 下 : 

m = TDec(Mi, M2) = L(M,- Mz mod N°). 

门限 Paillier 密 码 系统 的 加 法 同 态 性 和 标量 乘法 

同 态 性 表现 如 下 : 


。 加 法 同 态 性 : Dec(sk, [mi + m mod N]) = 
Dee(sk, [mi] : [me]). 


。 标 量 乘法 同 态 性 : Dec(sk,[c:m mod N]) = 
Dec(sk, [m]°), HA, ce Zn. 


R 


4.2 ”系统 模型 
如 图 2 所 示 TOMS 包括 两 个 参与 
者 Alice 和 Bob， 他 们 分 别 有 私 有 数据 z 和 wy. 不 


失 一 般 性 ， 为 保护 参与 方 的 私有 数据 ，Alice 采 
用 (2,2) 门 限 Paillier 密 码 系 统 设 置 密 钥 参数 ，Bob 采 
用 传统 Paillier 密 码 系 统 生 成 密 钥 参数 . 具体 地 ， 


。 参 与 者 Alice: Alice 首 先 调 用 密 钥 生成 算 
法 KeyGen 产 生 一 个 公私 钥 对 (pk,,ska)， 其 
Hpk, = (Na, ga). 此 外 ，Alice 调 用 KeyS 拆 分 
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作者 姓名 


1 


全 © 


O \ 
“yy ; 5 


pk a, Ska = (4,42) —_ Pkp, Skp, Az 
参与 者 Alice 参与 者 Bob 
图 2 ”系统 模型 . 


私 钥 sks 生成 两 个 部 分 私 钥 入 和 和 。， 并 将 拆 分 
后 的 部 分 私 钥 入 和 Alice 的 公 钥 分 发 给 Bob. 


。 参 与 者 Bob: Bob 调 用 密 钥 生 成 算法 KeyGen 产 
生 一 个 Paillier 密 码 系 统 的 公私 钥 对 (pk, sky), 
Hpk, = (Nog)， 并 将 Bob 的 公 铀 分 发 
给 Alice. 
威胁 模型 
在 抗 不 可 信和 参与 者 的 安全 两 方 比较 协议 
中 总 共 包 含 两 个 实体 ， 分 别 是 参与 者 Alice 和 参 
与 者 Bob， 本 文 假定 Alice 和 Bob 均 为 半 诚 实 的 ， 
即 Alice 和 Bob 严 格 遵循 并 执行 协议 ， 但 会 通过 协 
议 执行 过 程 中 的 中 间 值 等 信息 来 获取 另 一 参与 方 的 
输入 数据 . 半 诚 实 敌 手 Alice 和 Bob 的 目标 是 获取 对 
方 的 输入 数据 或 算 改 对 方 获得 的 最 终 比 较 结 果 . A 
体 的 恶意 行为 如 下 : 

(1) 半 诚实 敌手 Alice 通 过 协议 执行 过 程 中 Bob 发 
送 的 消息 来 推断 出 Bob 的 输入 数据 vy. 

(2) 半 诚实 敌手 Bob 通 过 协议 执行 过 程 中 Alice 发 
送 的 消息 来 推断 出 Alice 的 输入 数据 x. 

(3) 半 诚实 敌手 Alice 作 为 先 得 到 比较 结果 的 一 
方 可 能 会 算 改 正确 的 比较 结果 w Eu, Æ ua) ， 
并 将 算 改 后 的 ww 告知 Bob. 
4.4 详细 设计 

本 文 假定 x,y € [一 24, 24， 其 中 ，z 是 一 个 整数 
HEX < N, Oe = 32. 

TOMS 的 详细 过 程 如 图 3. Alice 输 入 数据 z 并 维 
P (pka, Ska) LAB (A1, X?) 全 KeyS(sk,). Bob 输 入 数 
据 y 并 维护 (ph, sky). HA, x,y € [一 24 2°]. 

TOMS 的 LT 作 流 程 如 图 3 所 
示 ，TOMS 以 Alice 和 Bob 的 FA 有 数 据 z 和 y 作 


4.3 


为 输入 ， 输 出 z 和 y 的 比较 结果 wu 和 ww 形式 
上 ，TOMS 可 以 表示 为 (wayus) 车 天 (zy)， 


其 中 ,是 一 个 安全 两 方 比较 函数 且 满 足 抗 
不 可 信 参 与 者 的 安全 两 方 比较 范式 . 如 图 3 所 
示 ，TOMS 的 5 个 步骤 详细 流程 如 下 : 


(1) Bob 按 加 密 私 有 数据 /成 [yl = 
Ene(pky, y) FEAR [y] r WIAA Alice. 

(2) Alice 加 # 私 有 输 Ack[z],., = 
Ene(phy,). 随后 ，Alice 随 机 选择 s < {0,1}， 并 通 
过 如 下 计算 得 到 刀 : 

([2] pk. ` bie) i [rı + Talks as =0 
(Lyle, . la ai  [ralpe,» 若 s = 1 
(1) 
其 中 ,71 从 集合 {0, 1}”\{0} 中 随机 选取 ，7。 从 
集合 {0, 1}“\{0} 中 随机 选取 (0, 为 安全 参数 ， 
BAl<ao<k< ab ， 随 机 选取 的 r1 和 7 满足 
以 下 条 件 : 


(2) 


然后 ，Alice 加 sils], = Eme(pka,s), # 
调用 部 分 解密 算法 部 分 解密 [sjyx, 得 到 M， = 
PDec([sjyx,, 入). 最 后 ，Alice 将 D，[slyi, 和 Mi 发 
送 给 Bob. 

(3) Bob 收 2D, [sjyx, 和 MM 后， 首先 解 
密 妃 获得 d = Dec(sk,, D). Bd > %, Bu, = 0， 
否则 记 u = 1， 随 后 ，Bob 加 密 t 成 [wil]ys。= 
Enc(pka, u1). 最 后 ，Bob 将 [uilyw, 发送 给 Alice. 

(4) Alice 收 到 [fu 后， 首先 解密 [ui] 获 
Fut, 并 计算 w = §— Uy. 随后 ， Alice 将 和 发 送 
给 Bob. 


(5) Bob 获 得 A 后 ， 部 分 解 W [slp 3R 


M> = PDec([s]p.,,A2). 随后 Bobit 
Bs = TDec(M,, M2). 最 后 ，Bob 计 算 w = s — u. 
4.5 正确 性 分 析 


参与 者 Alice 能 获得 正确 的 比较 结果 . 在 
第 (2) 步 中 ， 输 入 数据 z,y e |-2424， 
随 机 数 r1 从 {0,1}”\{0} 中 随机 选择 ， 随 机 
Zro M{0, 1}“\{0} 中 随机 选择 ， 满 足 "-。< 学， 
且 ri 十 ra > 学. 根据 s 的 不 同 取 值 ， 分 类 讨论 如 
下 : 


。 若 s = 0. AMxc—-ytil e [-2%' +1, 
2 和 1 十 1]，DD 的 解密 结果 d = rı(x—y+1)+rz € 
[这 Iz 2c+L+1 _ 27, = 平 got+e+1 于 2°]. 
Alice 在 第 (4) 步 中 得 到 uw Ed > $, u = 

0. 若 d < uy =D. Awe > VHH < 

oC<k< |*}), 0<d< NURr fr, Bic 

条 件 可 得 : 

(1) Äx > yif, Ad =ri(x—y+1)+ro> 
‘%, Aru, = 0. tehtu, = s — u = 0 — 0 = 
0. 由 TOMS 的 输出 可 得 v。 = 0 代表 z > y. 
此 ，Alice 能 获得 正确 的 比较 结果 . 
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参与 者 Alice 参与 者 Bob 
as | D EDI, A 
~ w 


2) 发 送 [s] yp Mi = PDec([sl yx 4141) 


3) 发 送 [ua] 


= 计算 d = Dec(skp, D), u | 


计算 
uz = Dec(skg, [ide 
此 时 ，Alice 获 得 结果 


Ug = S — Uy. 


E3 TOMS 流程 图 . 


(2) 当 z < yit, Bd = 二 71 (x 一 y 十 1) 十 72 < 
x, ui = 0. tkAtu, = s — u =O-1= 
—1 = N,-—1(modN,). B Fua > e, 所 
以 us = Ny 一 wa = 1. 由 TOMS 的 输出 可 得 w。 = 
1 代表 x < y. 因此 ，Alice 能 获得 正确 的 比较 结 
R. 


. As = 1. A My 一 « = 
-2+ 2], d = my 一 2) +1. € 
[= 49 — gotl+1 _ 27, à as gote+1 aa 27], 
同 理 可 得 : 

G) Är > y 时 ， 易 知 d < $, Au = 1. 
此 时 ws = s — u, = 1 — 1 = 0. 由 TOMS 的 输出 
Au, = 0 代表 x < y. 因此 ，Alice 能 获得 正确 
的 比较 结果 . 


(2) 当 z < y 时 ， 易 知 d >, Mu = 0. 
此 时 ws = s 一 wi = 1 — 0 = 1. 由 TOMS 的 输出 
可 得 ws = 1 代表 x < y. 因此 ，Alice 能 获得 正确 
的 比较 结果 . 


综 上 所 述 ，Alice 总 能 获得 正确 的 比较 结果 . 

参与 者 Bob 能 获得 正确 的 安全 比较 结果 . 
Bob 在 第 (1) 步 中 发 送 y 的 加 密 结 果 给 Alice. 
Bob 在 第 (3) 步 中 通过 解密 输入 DD 获得 9， 再 通 
过 d 与 沁 的 关系 求 出 wl， 并 得 到 经 加 密 的 [slyx, 以 
及 [sjyx, 的 部 分 解密 结果 JMi.， Bob 在 第 (5) 步 时 
收 到 Alice 的 拆 分 私 钥 入 后 部 分 解密 [sjyx, 的 到 M5. 
然后 联合 Mi 在 门限 解密 算法 TDec(MM1, MM) 的 作用 
下 得 到 s. 由 于 TOMS 执 行 到 第 (4〉 步 时 Alice 能 获 
得 正确 的 安全 两 方 比较 结果 tw。， 且 Bob 和 Alice 生 


4) RIZA 


5) 计算 
M, = PDec([s] ,42)， 
s = TDec(M,, M2). 
此 时 ，Bob 获 得 结果 


üp =S= tj; 


成 us 和 ws 所 需 s 和 wi 是 相同 的 ， 所 以 Bob 能 获得 正 
确 的 安全 两 方 比较 结果 tw = s 一 u. 

由 于 ws = s — u Bu, = 二 5s 一 ww1， 因 此 ,ws = 
ub 总 成 立 . 换 句 话说 ，Alice 和 Bob 总 是 获得 相同 的 
比较 结果 . 


5 安全 性 分 析 


本 节 首 先 介 绍 选择 明文 攻击 (chosen-plaintext 
attack, CPA) 安全 性 定义 ， 并 证 明 TOMS 第 (2) 步 
中 使 用 的 加 密 方 案 7j (zx 一 y 十 1) 十 72 或 ri(y 一 x) 十 72 满 
足 CPA 安 全 性 〈 为 了 简洁 ， 令 mm = x 一 y+1,y 一 2%) . 
随后 给 出 半 诚 实 模型 下 的 安全 性 定义 ， 并 通过 半 诚 
实 模型 下 的 模拟 范式 证 明了 TOMS 的 安全 性 . 最 
后 ， 验 证 TOMS 满 足 抗 不 可 信人 参与 者 的 安全 两 方 比 
较 范式 . 

5.1 CPA 安 全 定义 

CPA 安 全 通常 使 用 计算 上 不 可 区 分 性 实验 
来 描述 7|， 在 实验 中 共有 两 个 角色 : 敌手 .4 攻 
击 系统 ， 挑 战 者 C 对 敌手 的 行为 进行 反馈 . 实 
验 PubK92 m +m(o Ai) 有 具体 过 程 如 下 : 


(1) 敌手 .4 随机 选择 两 个 消息 mo 和 ma 发 送 给 挑战 
者 C. 


(2) 挑战 者 C 随 机 选择 比特 b c {0,1}， 并 生成 随机 
žr Mro tArm, 十 72 发 送 给 敌手 A. 


(3) 敌手 4 输出 一 个 比特 % c {0, 1} 当 做 对 6 的 猜测 . 


(4) 4b = VV， 则 实验 结果 AL, 
RIPubKS nir (0, K) = 1, KR we 


? 期 作者 姓名 等 ; 论文 题 7 
手 .4 攻击 成 功 . Bb A 以 ， 则 实验 结果 为 0， 率 最 大 为 : 


BMPubk G4 (ok) = 0， 代 表 着 敌手 A 攻 
击 失败 . 


定义 2. AMBA rim 十 72 满足 : 对 于 任意 
概率 多 项 式 时 间 敌 手 A 都 存在 一 个 关于 o 和 的 可 忽 
略 函 数 negl(o, %)， 使 得 以 下 不 等 式 成 立 : 


Pr |Pubk& mirn (0 K) = 1] < ; + negl(o, K) 
则 说 明 加 密 方案 r1m +r ECARE. 

定理 1， 对 于 mo,m1 E€ [24,2]; riori € 
[2071,27 一 1] 以 及 rz0,721 € [2571,2 — 1] 满 
足 7iomo 十 720 和 711mi 十 721 在 计算 上 是 不 可 区 分 的 

(Plan, = 64,0 = 128,&& = 512) . ÉRE, H 
战 者 C 随 机 选取 me € [一 24,24] (be {0,1}) , rie 
[2"- 2" 一 ]] 和 rs € [257t, 2° -1itBrimy tro. 此 
时 对 于 敌手 A， 通 过 rjm + 7? 推测 出 以 ， 使 得 % = 
DC e {0,1}) 的 概率 Pr[w = b | rim, +r] < 
3 +negl(k), HAnegl(K)AKFKA T 42 Mg A Z. 
说 明 加 密 方案 mm 十 ?满足 CPA 安 全 . 

WE AW. 随机 选择 ms € [-25,25, rm € 
(27-1, 2° 一 1 和 rz € [2"-1,2" 一 1]， 所 以 rim + 
im € [25-1 — otto 4 98 on 4 otto _ 26 4], 
由 于 71 和 7? 是 挑 战 者 C 在 实 
验 PubK9, rs (on) 第 20) 步 中 Be 机 
选择 的 ， 所 以 rn + rob MD A 
在 [2 — fto 十 24,2* 十 2419 一 24 一 1| 范 
A. Bl & FAMrim, 十 72 中 推断 出 b 的 概率 
为 Pr [b =b | rim +r] = ż. 

当 敌 手 .4 在 实验 PubK922 (oK) (1) 步 
中 选择 mo = —2', m = 24 时， 敌手 .4 推断 出 ! 的 
概率 最 高 ， 具 体 如 下 : 


© APM BCE LMP ubKG (0,4) B (2) 
步 选 FED = 0, 则 4rim, + 72 E€ 
es — 9DL+a + 24， 95-1 + gl+0o-1 _ 1] 时 敌 
手 A 能 推断 出 5 = = 0 的 概率 为 1. 


。 若 挑战 者 C 在 实验 PubK4 (cn) 第 

(2) 步 选择 = 1, WHrmtr € 

[Be = Pie DK + 9tto — 24 — 1] 时 > 敌 
手 .4 能 推断 出 = = 1 的 概率 为 1. 


综合 考虑 以 上 两 种 情况 ， 敌 手 .4 攻击 成 功 的 概 


Pr [b = b | rim, + ro] 
和 


2 2 2l 

= 2 十 3.247 1 一 2 一 1 十 1 一 2 
9 25-1 

1 oY 9tto ot+1 


2 25 

Hlo kZ BADRA (0 <o < FA) 可 
知 ，2 > 3. atte 一 241， 所 以 存在 可 忽略 函 
Bnegl(k) = gate a2 ets: 

Pr [b = b | rim, + r2] < 5 + negl(o, K) 

证 毕 . 

5.2 半 诚 实 模型 下 的 安全 性 定义 

在 半 诚 实 模型 下 ， 协 议 中 的 参与 者 都 是 半 诚 实 
的 . 半 诚 实 的 参与 者 会 按 协议 的 相关 要 求 诚 实地 执 
行 协议 ， 但 是 在 协议 执行 的 过 程 中 会 记录 对 方 发 送 
过 来 的 消息 序列 和 自己 抛 硬币 (coin tosses) 产生 
的 结果 . 协议 执行 完 后 半 诚 实 的 参与 者 会 根据 自己 
记录 的 所 有 中 间 结 果 来 推断 出 其 他 参与 者 的 隐私 信 
息 


安全 两 方 计算 理想 模型 。 记 f : {0,1}* x 
{0,1}* 一 {0,1} x {0,1}* 是 一 个 概率 多 项 式 
时 间 函 数 ， 代 表 着 安全 两 方 计算 的 随机 计算 
过 程 . 其 中 ， f(x,y) = (fila, y), falz, y)). 在 
两 方 参与 的 理想 模型 下 ，Alice 和 Bob 双 方 分 别 拥 
有 输入 数据 z 和 y， 通 过 可 信 的 第 三 方 (Trusted 
Third Party, TTP) tH RARS, y) 协议 执行 完 
成 后 ，Alice 和 Bob 分 别 得 到 及 (zx,y) 和 所 (x,y)), 并 
且 不 泄露 各 自 的 输入 数据 z 和 w. 具体 定义 如 下 : 

(1) Alice 将 自己 的 输入 数据 z 发 送 给 TTP 

(2) Bob 将 自己 的 输入 数据 y 发 送 给 TTP. 

(3) TTP 通 ”过 x 和 wy 计 Bf(z,y) = 
# Alice, 4% fo(ax, yy) 发送 给 Bob. 

特别 的 ， 由 于 TTP 是 诚实 的 ， 参 与 者 除了 
从 TTP 获 得 自己 相应 的 f(z,y)(i © {1,2}) 之 外 ， 
得 不 到 任何 其 他 信息 ， 所 以 理想 协议 是 最 安全 的 协 
议 ， 在 理想 模型 下 能 解决 任何 安全 两 方 计算 问题 . 
若 一 个 实际 协议 能 够 达到 与 理想 协议 相同 的 安全 
性 ， 则 可 以 说 明 该 实际 协议 是 安全 的 . 

模拟 范式 模拟 范式 是 一 种 广泛 接受 的 证 明 多 
A (两 方 ) 安全 计算 协议 安全 性 的 方法 . 模拟 范式 
通过 对 比 理想 模型 与 现实 情况 下 的 多 方 〈 两 方 ) 安 
全 计算 协议 来 定义 协议 的 安全 性 ， 若 现实 情况 下 协 
议 泄露 的 信息 不 会 多 于 理想 模型 下 泄露 的 信息 ， 则 
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可 以 说 明 该 协议 是 安全 的 . 

具体 地 ， 若 协议 执行 过 程 中 的 某 一 参与 者 获得 
的 消息 等 同 于 从 其 输入 和 输出 推断 出 来 的 消息 ， 则 
说 明 该 协议 是 安全 的 . 安全 两 方 计算 协议 使 用 模拟 
范式 来 形式 化 表达 协议 安全 性 ， 通 过 协议 的 输入 和 
输出 来 模拟 参与 方 的 视图 ， 并 且 参 与 方 从 输出 中 无 
法 获得 其 他 信息 

假设 参与 方 Alice 拥 有 输入 数据 z， 参 与 
方 Bob 拥 有 输入 数据 y， 双 方 通过 安全 两 方 
计算 协议 7 联合 计算 一 个 概率 多 项 式 时 间 函 
HfL, y) = (五 (x;y), 天 (7X,y))， 在 执行 协议 7 的 
过 程 中 ， 定 义 Alice 和 Bob 双 方 获得 的 视图 分 别 


为 view7 (x, y) = (2,7, Mi, ,70 和 Viewz(z;,V) = 

(Y, ee ere m). 其 中 ，Alice 和 Bob 执 
行 协 议 时 收 到 的 消息 序列 分 别 
为 (m1,..., mz) 和 (1m’,... m Alice 和 Bob 执 


行 协议 时 抛 硬币 得 到 的 结果 分 别 为 r 和 ~. 最 
终 ，Alice 和 Bob 完 成 协议 后 得 到 的 结果 分 别 
A output 7 (x, y) #0 output 3 (x, y) [28]. 

定义 3. MEHEARS, 如 果 存 在 概率 多 项 
式 时 间 算 法 9; 和 ,9>《〈 一 般 称 9; 和 92 为 模拟 器 . ) 满 
足以 下 条 件 : 


人 (x, filz, y)), felz, Y)) Izy 

= { (view!! (x,y), output (a, Wey (3) 

{(S2 (y, folz,y)) , fi (2,9)) 

= { (view? (x,y), output T(z,9))},, 
MRANA TARS 其 中 ， 三 代表 着 计 


算 上 的 不 可 区 分 性 . 
5.3 ”安全 性 证 阴 
定理 2.， MAAS 

在 半 诚 实 条 件 下 是 安全 的 . 

证 明 . 依照 定义 3 要 求 ， 分 别 构 造 模拟 
器 S1 和 ,S$。， 若 两 个 模拟 器 使 公式 他 成 立 ， 即 可 
证 明定 理 2 的 正确 性 ， 在 TOMS 中 ,fi(zx,y) = 
Ua, falz, Y) = w 

下 面 分 别 讨论 构造 模拟 器 5 和 .52 的 两 种 情况 

构造 模拟 器 951. 具体 的 模拟 流程 如 下 : 


与 者 的 安全 两 方 比较 协议 


(1) SpE 机 选 My’ € [一 24 2%], 使 
得 有 (x,y) = filt,y’) = ua. 随后 加 密 y 得 


到 [wy = Ene(pkyp, y’). 

(2) S, BB MLE e {0,1}7\{0O}, ro € 
{0,1}*\{O}#Ms € {0,1}. 随 后 加 密 s 得 
到 [sljys。 = Eme(pka,s), #8 > f ls] px, 
aM, = PDec([s]pr,, A1). as = 0, +8D' = 
([z] px, : ARA 一 as [ri + Telko: 若 s = 1， 则 计 


算 刀 = (be elpe) [relve 


(3) 51 解 密 D' 得 到 d’ = 
%, ilui = 0， 否 则 记 必 = 1. 
[ule, = Ene(pka, u). 

(4) Sif Bul on Elui = 
Dec(ska, [wi]yxs)， 随 后 计算 ws = s — ul. 

(5) S51 部 分 解 Bs] px. 得 到 M> = 
PDec([s]yx,, A2). 随后 完全 解密 [sjw. 得 
到 s = TDec(M,, M2), Rit Bu, = s — ul. 

a A FR RMD R, 模 拟 
器 9 得 到 的 视 AS, (x, fi(z,y)) = 
(x, [elpor $; [yor,, [Sl pea Mi, M2, D’, d', u3, 
fi(a,y')). 真 实 视 图 view1i(z,y) = 
(x, [2] px,, 8, [vloe llora Mi, M2, D, d, u, filz, y)). 


Dec(sk,, D'). Ad’ > 
随后 加 密 必得 


BES 导 到 的 结果 output (x,y) = u,, BAY 
结果 户 (z,Vy) = w. AFfil(z,y) = filz,y’), 
所 以 uw。 = we M mu = u, #-BD 
得 出 d = qd' 以 及 output 了 (zx,y) = fo(x,y). 
又 Al 为 Paillier 加 密 是 语义 安全 的 ， 所 
Aly pe, = [vlr HD = D. 

即 存在 模拟 器 ,91 满足 : 

{(S1 (x, fi(z,y)), fo(@,¥)) bey (4) 
= { (view! (x,y), output (a, y)) tee 
构造 模拟 器 5S2. 具体 的 模拟 流程 如 下 : 
(1) 5 随机 选取 e [-2',2°, (8 


得 f(z,y) = fo(z,y) = ua 随后 加 密 y 得 
到 [wj = Enc(pk,, y). 
(2) SBE LIE Mr, < {0,1}7\{0 


př 
{0,1}*\{0} 和 5 e {0,1}. 随后 加 密 5 得 


到 [ 引 = ”Enc(pka,5)， 部 分 解 密 [引得 
aM, = PDec([5]pra, A1). As = 0， 计 算 D = 
ee [yl [^ + Tolpri- as = 1, Mit 
= (Lyle. - [zle i - Folpr- 7 
(3) 3 解密 万 得 到 d = Dec(sky,D). #d 
“, idm = 0, Gide = 1. 随后 加 密码 得 
到 ly, = Ene(pka, ti). 
(4) Sof fn lp FE 一 


Dec(ska, [wlyx,)， 随 后 计算 ww = 5 一 i. 

(5) SA 分 解 密 [ 引 yx, 得 EM = 
PDec( [5] px, 2). 随后 完全 解密 [ 引 。.# 
到 5 = TDec(M,, M>) RAT m = 5 — th. 

a Ft we WTR, B 
器 So 得 到 的 视 图 AS (y, fo(z,y)) = 
(v, Iulo; [Zl pa, 5, [slor,, Mi, Ma, D, d, ú, 

有 i(z,y))， 真 实 视 图 viewl(z,y) = 
(y, Ly] pe.» [2] pe, S, [sl Mı, Mə, D, d, %1, 
filz,y)). WBS. FY 44 R output E(x, y) = 
Ua, BKR fi (x,y) = ua. 


? 期 作者 姓名 等 : 
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由 于 户 (z,y) = fo(Z,y)> 所 以 us = Up» 进 一 
步 可 以 推导 出 5 三 s， 人 而 = uA output E(x, y) 三 


及 (zx,y). ”由 于 Paillier 加 密 是 语义 安全 的 ， 所 

以 [可 = [zt] px. ll = [sl px, 44 [tI px, = 

lulo H-PHSHM, = MWM, = Mo. 最 
后 ， 由 定理 1 可 知 : d=d,D=D. 

即 存在 模拟 器 ,5 满足 : 
{(S2 (y, fo(t,9)) Aly) bay eC 
= { (view) (x,y), output 1 (2, 9))},, - 
证 毕 . 


以 上 方案 证 明 TOMS 在 半 诚 实 模 型 下 是 安全 
的 ， 并 且 能 抵抗 选择 明文 攻击 . 接 下 来 进一步 验 
证 TOMS 满 足 抗 不 可 信 参 与 者 的 安全 两 方 比较 范 
式 ， 即 ， 验 证 TOMS 满 机 密 性 ， 正 确 性 和 可 靠 性 . 

机 密 性 . Alice 和 Bob 双 方 的 输入 数据 都 不 会 泄 


ae 
Ee. 


。 对 于 Alice， 其 输入 数据 z 不 会 泄露 给 Bob， 
理由 如 下 : 在 TOMS 第 (2) 步 中 ，Alice 通 
过 Paillier 密 码 系 统 B 计 算 dq( 若 s = 0, d = 
rm(z 一 y+1) 十 7»， 若 s = 1, d = r(y-— 
x)+r2) 的 加 密 值 D. 随后 ， 在 TOMS 第 (3) 
步 中 ，Bob 通 过 自己 持 有 的 私 钥 si 解密 刀 得 
到 d. 根据 定理 1， 加 密 方案 ri1m 十 72 是 CPA 安 
全 的 ， 所 以 Bob 不 能 通过 d 获 取 Alice 的 输入 数 
Hr. 


对 于 Bob， 其 输入 数据 y 不 会 泄露 给 Alice， 理 
由 如 下 : 在 TOMS 第 (1) HH, Bobsn ByF 
到 [yjwx,. 由 于 Alice 没 有 私 钥 sk。， 所 以 Alice 无 
法 获 通 过 [ylyx, 取 Bob 的 输入 数据 y. 


正确 性 . 4.5 节 已 详细 证 明 协 议 的 正确 性 ， 避 免 
重复 ， 此 处 不 再 复述 . 

可 靠 性 . 在 TOMS 中 ，Alice 作 为 先 得 到 最 终 
比较 结果 ww 的 一 方 ， 可 靠 性 保证 敌手 Alice 不 能 算 
改 Bob 获 得 的 最 终 比 较 结 果 w， 保 证 = ww 始终 成 
立 . 由 于 Bob 获 得 的 最 终 比较 结果 Ww = s 一 wi， 
结合 TOMS 的 第 (2) 和 (3) 步 ， 敌 手 Alice 通 过 
改变 d 的 值 影响 w〈( 若 4d > S, Mu = 0 F 
Mju, = 1) ， 并 最 终 影响 Bob 的 解密 结果 心 . 

在 上 述 分 析 中 ，Alice 通 过 选取 特定 的 d' 来 
改变 半 诚 实 参 与 方 的 最 终结 果 w， 所以， 要 证 
明 TOMS 满 足 抗 不 可 信 参 与 者 的 安全 两 方 比较 的 可 
靠 性 ， 只 需 证 明 d 和 d/' 是 计算 上 不 可 区 分 的 . 根据 定 
理 1， 加 密 方案 d = rim 十 r"。( 若 s =0, d=r,(rx—- 
y 二 1) 十 72. 4@s=1, d=r,(y—x)+r2) 满足 CPA 安 
全 ， 即 ，d 和 d' 是 计算 上 不 可 区 分 的 . 所 以 ， 对 


Fd=n(y-—z)+re (d=ri(z—y+1)+7r2), 
敌手 Alice 不 能 通过 选取 特定 的 d' 来 改变 半 诚 实 参 与 
方 的 最 终结 果 w。. 即 ， 政 手 Alice 不 能 改变 半 诚 实 参 
与 方 的 最 终结 果 避 ， 所 以 TOMS 满 足 抗 不 可 信和 参与 
者 的 安全 两 方 比较 范式 的 可 靠 性 . 

综 上 ，TOMS 满 足 抗 不 可 信 参 与 者 的 安全 两 方 
比较 范式 . 


6 实验 评估 


ARS SLIGHT LEObLVM[14], ABY|15], TOMS 
和 semiSMC[20) 在 实现 安全 两 方 比较 协议 的 性 能 ， 
并 测试 不 同安 全 参数 N 和 明文 长 度 l 下 TOMS 的 运 
行 效率 . 

实验 配置 . 测试 时 具体 实验 环 
境 配 置 为 : Intel (R) Core (TM) i5-8300H CPU 
2.30GHz; 内 存 16GB; 操作 系统 Windows11 64 位 ; 
编程 环境 : C++ 和 GMP6.2. 
6.1 效率 分 析 

一 般 通 过 计算 复杂 度 和 通信 复杂 度 来 衡量 具体 
协议 的 效率 . 且 在 考虑 计算 复杂 度 时 ， 由 于 模 指 数 
运算 的 计算 复杂 度 远大 于 其 他 运算 . 例如 计算 g" 需 
要 1.5|r| 次 模 乘 运算 |271 (其 中 ，|7| 表 示 其 二 进 制 
表示 位 数 ) ， 所 以 通常 忽略 其 他 运算 ， 只 考虑 协议 
执行 过 程 中 的 模 指数 运算 次 数 . 考虑 到 参与 双方 在 
协议 执行 前 可 以 进行 产生 和 交换 密 钥 操作 ， 所 以 对 
协议 进行 效率 分 析 时 不 考虑 准备 阶段 . 表 2 给 出 不 同 
协议 之 间 的 计算 复杂 度 、 通 信 复 杂 度 的 比较 . 

计算 复杂 度 . 根据 TOMS 的 执行 过 程 ， 具 体 的 
计算 复杂 度 分 析 如 下 (具体 实验 时 N。 = N。 = 
N) : (1) Bob 加 密生 成 fy] 需要 1.5|V| 次 模 
乘 运算 . (2) Alice 加 密 z 和 s 共 需要 3| | 次 模 乘 运 
算 ， 生 成 D 需 要 1.5|N| + 3c 次 模 乘 运算 ， 部 
分 解密 fs] 需要 1.5c 次 模 乘 运算 ;， (3) Bob 解 
SK 出 wl 需 BLSNRERZS, Meus 
到 [需要 1.5|V| 次 模 乘 运算 ;， (4) Alice 解 
Butt 需 1.5|V| 次 模 乘 运算 ; (5) Bob 部 分 解 
Bs]. 共 需 要 1.5c 次 模 乘 运算 ; 综 上 ，TOMS 计 
算 复杂 度 为 10.5|N| + 6o. 

semiSMC 人 解决 多 方 求 最 大 值 的 问题 . 本 文 设置 
参与 方 为 两 方 ， 由 此 对 比 两 方 安 全 比较 . 具体 地 ， 
在 加 密 阶 段 两 个 参与 者 共 需 要 6v|N| 次 模 乘 法 运 
算 ， 在 解密 阶段 找到 最 小 值 平均 需要 1.5v|N| 次 
模 指数 运算 ， 且 找到 最 大 值 平均 需要 1.5v|N| 次 模 
指数 运算 . 所 以 ， 总 共 需 要 9v|N| 次 模 指 数 运 算 ， 
其 中 参与 方 的 输入 从 一 个 集合 中 选取 ，v 代 表 该 
集合 的 大 小 ，N 为 使 用 公 钥 加 密 方案 的 模 数 ， 如 
表 2 所 示 ， 因 为 v 代 表 参 与 方 输入 集合 的 大 小 . 由 
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于 安全 性 的 原因 , v > 2， 又 因为 |V| > o, 
所 以 TOMS 的 计算 复杂 度 低 于 同类 方法 semiSMC. 
ABY 混 合算 术 共 享 、 布 尔 共 享 和 混淆 电路 解决 安全 
多 方 计算 问题 ， 但 在 本 实验 中 仅 使 用 混淆 电路 . A 
体 地 ，ABY 和 ObliVM 在 本 文 设 置 中 仅 使 用 经 free- 
xor 优 化 后 混淆 电路 实现 两 方 安全 比较 ， 计 算 复 杂 
度 依 赖 于 电路 中 与 门 (AND) 的 数量 ， 且 计算 时 
仅 使 用 廉价 的 共享 密 钥 计算 ( 异 或 门 (XOR) 计算 
仅 需 本 地 进行 异 或 操作 ， 和 忽略 计算 开销 〉. 

特别 的 ， 基 于 混淆 电路 的 ObliVM 和 ABY 两 种 
方案 计算 复杂 度 与 其 对 应 电路 的 与 门 数 量 相关 ， 难 
以 与 本 文 提出 的 基于 同 态 加 密 的 TOMS 进 行 对 比 ， 
所 以 其 计算 复杂 度 用 上 替代 . 后 续 实验 结果 证 明 本 
文 提出 的 TOMS 在 计算 效率 上 是 最 优 的 . 

通信 复杂 度 . 通信 复杂 度 具体 取决 于 通信 轮 
数 和 通信 开销 . 在 通信 轮 数 方面 ，ObliVM 和 ABY 两 
种 基于 混淆 电路 (ABY 是 混合 协议 ， 但 在 本 实验 
中 仅 使 用 混淆 电路 〉 的 协议 通信 和 轮 数 为 4 具体 
地 ，Alice 传 输 混淆 表 和 自己 输入 数据 对 应 标签 需 
要 1 轮 通信 ， 随 后 Bob 通 过 并 行 执 行 不 经 意 传 输 协 
议 来 获取 输入 数据 每 一 比特 对 应 的 标签 需要 2 轮 通 
言 ， 最 后 传输 结果 需要 1 轮 通信 . semiSMC 协 议 运行 
时 需要 向 其 他 参与 方 公 布 自 己 数 据 的 编码 向 量 ， 
所 以 其 通信 和 轮 数 为 n(n 一 1)，n 为 参与 方 数量 . 易 
知 ，TOMS 使 用 4 轮 通 信 . 

在 通信 开销 方面 ，semi SMC 所 有 参与 方 都 
要 传输 定义 域 集合 内 所 有 元 素 的 加 密 值 ， 所 
以 TOMS 的 通信 开销 远 低 于 同类 方法 semiSMC. 
并 且 对 比 基 于 混淆 电路 的 OBliVM 和 ABY 协 
iM, ，TOMS 的 通信 开销 也 是 最 低 的 .具体 
地 ，TOMS，semiSMC，ObliVM 和 ABY 的 通信 开 
销 分 别 为 1.25KB，49.9KB，14.8KB 和 10.29KB. 


表 2 不 同 协议 的 计算 与 通信 复杂 度 比较 
方法 计算 复杂 度 ”通信 轮 数 通信 开销 
ObliVM| L 4 14.80 KB 
L 4 10.29 KB 
semiSMC|20]  9u|N| n(n — 1) 49.90 KB 
TOMS 10.5|N|/ +60 4 125KB 


L: 实验 中 ABY 仅 使 用 混淆 电路 ， 与 ObliVM 在 计算 复杂 度 上 都 与 其 生成 
电路 的 与 门 数 量 相关 . 


6.2 ”实验 测试 


在 实验 中 ， 我 们 使 用 预计 算 提 升 TOMS 协 
议 的 运行 效率 . 例如，Alice 在 协议 执行 前 
预先 计算 TOMS 第 (2) FH As]... [ri + 
Tole. [Tele 等 变量 ， 等 到 TOMS 执 行 时 直接 使 


用 预计 算 的 结果 ， 无 需 在 协议 执行 过 程 中 计算 . 
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图 4 32 比特 了 明文 在 不 同安 全 参数 下 协议 运行 时 间 . 
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图 5 64 比特 明文 在 不 同安 全 参数 下 协议 运行 时 间 . 


实验] 测试 不 同 明 文 长 度 与 不 同安 全 参 
数 N 大 小 下 ObliVM，ABY，semiSMC，TOMS 协 
议 的 运行 效率 . 其 中 ， 安 全 参数 VN 具体 是 
指 TOMS 与 SemiSMC 采 用 加 密 方案 的 模 数 . 具 
体 地 ， 在 TOMS 中 o 128, N, = N =N, 
且 使 用 预计 算 优 化 .在 semiSMC 中 输入 方 集合 
小 v = 200， 在 ABY 中 仅 使 用 姚 兵 混淆 电路 ， 所 以 
设置 sharing = S_Y AO. 

PACK EC = 32 比 特 ， 安 全 参数 N 的 范围 
从 512 比 特 到 1024 比 特 时 ， 不 同 协议 具体 其 执行 时 
B (单位 毫秒 〉 具 体 如 图 4. 明文 长 度 为 6 = 64 比 
特 ， 安 全 参数 NN 的 范围 从 512 比 特 到 1024 比 特 时 ， 
不 同 协 议 具体 其 执行 时 间 如 图 5. 

如 图 4 所 示 ， 由 于 ObliVM 和 ABY 采 用 混淆 电路 
实现 安全 两 方 比较 ， 其 运行 时 间 与 安全 参数 入 无 
关 ， 所 以 二 者 在 明文 长 度 = 32 比 特 下 ， 协 议 
运行 时 间 不 变 分 别 为 200.8 毫 秒 和 13.9 毫 秒 . 其 次 
是 随 着 安全 参数 NN 的 增加 ，TOMS 和 semiSMC 计 算 
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图 6 不 同安 全 参数 和 明文 大 小 下 TOMS 的 运行 时 
间 . 


单 次 模 蛙 运 算 耗 时 增加 ，TOMS 和 semiSMC 的 运行 
时 间 逐 步 增加 ， 且 semiSMC 较 TOMS 的 上 升 趋势 
更 显著 (semiSMC 的 计算 复杂 度 大 于 TOMS ) . 最 
后 在 协议 运行 时 间 上 ， 本 文 提出 的 TOMS 表 现 最 
ti, ÆN = 1024 比 特 时 ， 相 较 于 ObliVM 快 189 毫 
秒 ， 相 较 于 ABY 快 2.1 毫 秒 . 特别 的 ， 相 较 于 同类 方 
法 semiSMC 快 3592 毫秒 (51.248) . 

如 图 5 所 示 ， 由 于 电路 大 小 和 通信 和 总 量 与 明文 
长 度 l 正 相关 ， 所 以 明文 长 度 l 越 大 ， 其 耗 时 越 多 . 
具体 地 ， 明 文 长 度 ( = 64 比 特 ，ObliVM 和 ABY 的 
运行 时 间 分 别 是 340.1 毫 秒 和 17.5 毫 秒 ， 相 较 于 32 比 
特 明 文 ， 运 行 时 间 分 别 增加 139.6 毫 秒 和 3.6 毫 秒 . 其 
次 是 对 比 图 4，TOMS 在 相同 安全 参数 下 ， 明 文 长 
度 = 32 比 特 和 明文 长 度 = 64 比 特 的 运行 时 间 
一 致 ( 差 距 在 2 毫秒 左右 ); ，semiSMC 同 样 如 此 . 其 
原因 是 Paillier 加 密 算 法 加 密 明 文 时 存在 随机 的 乘 
法 因子 r， 导 致 其 明文 长 度 与 其 对 应 的 密 文 大 小 无 
关 ， 进 一 步 导 致 明文 长 度 与 协议 运行 时 间 无 关 . 最 
后 在 协议 运行 时 间 上 ， 本 文 提出 的 TOMS 表 现 最 
ti, ÆN = 1024 比 特 时 ， 相 较 于 ObliVM 快 327.6 毫 
秒 ， 相 较 于 ABY 快 5 毫秒 . 特别 的 ， 相 较 于 同类 方 
法 semiSMC 快 398 毫秒 (48.848) . 

实 验 2 测 试 不 同安 全 参数 和 明文 比特 
对 TOMS 效 率 的 影响 . 具体 地 ， 了 明文 长 度 上 比特 范 
围 从 8 到 64 比 特 ， 安 全 参数 co = 128, N, = NM = 
NN 分 别 为 512，1024，2048，4096 比 特 . 具体 协议 执 
行 时 间 如 图 6. 

如 图 6 所 示 ， 在 某 一 具体 安全 参数 N 取 值 
下 ，TOMS 执 行 时 间 不 受 明 文大 小 影响 . 例如 ， 
4N = 1024 时 ， 明 文 长 度 l 比 特 范围 从 8 到 64 比 
特 ， 协 议 执行 时 间 都 为 12.8 毫 秒 左 右 .， 当 N = 


2048 时 ， 了 明文 从 8 到 64 比 特 ， 协 议 执行 时 间 都 
为 78 毫 秒 左 右 . 其 次 是 随 着 安全 参数 N 的 增 
大 ，TOMS 运 行 时 间 也 成 倍增 加 . MN = 
512 到 N = 1024，TOMS 运 行 时 间 增 加 约 6.4 售 . 
MN = 1024 到 N = 2048，TOMS 运 行 时 间 增 加 
约 6.1 倍 . JAN = 2048 到 NN = 4096，TOMS 运 行 时 
间 增 加 约 5.5 售 . 

实验 1 和 2 结果 表明 TOMS 在 半 诚 实 模型 且 安 全 
BAN = 1024 时 ， 运 行 效率 高 于 基于 混淆 电路 
的 ObliVM 和 ABY， 以 及 基于 同 态 加 密 的 semiSMC. 
综 上 ，TOMS 在 满足 抗 不 可 信和 参与 者 的 安全 两 方 比 
较 范 的 同时 ， 保 证 协议 运行 效率 . 


7 结论 


为 解决 现 有 的 安全 两 方 比较 协议 无 法 抵抗 不 
可 信和 参与 者 的 问题 ， 本 文 提 出 一 种 抗 不 可 信和 参与 
者 的 两 方 比较 协议 . 具体 地 ， 本 文 首先 形式 地 定义 
抗 不 可 信和 参与 者 的 安全 两 方 比较 范式 ， 并 通过 门 
限 Paillier 密 码 系统 设计 一 个 满足 抗 不 可 信和 参与 者 的 
安全 两 方 比较 范式 的 安全 两 方 比较 协议 TOMS. 相 
比 于 现 有 的 安全 两 方 比较 协议 ，TOMS 不 仅 极 大 地 
是 高 安全 两 方 比较 协议 效率 的 同时 ， 并 且 协 议 保证 
任何 一 方 都 无 法 算 改 比较 结果 并 使 得 每 个 参与 方 都 
获得 一 致 的 比较 结果 . 未 来 ， 我 们 将 尝试 将 抗 不 可 
信和 参与 者 的 安全 两 方 比较 范式 扩展 到 抗 不 可 信和 参与 
者 的 的 安全 多 方 通 用 计算 
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Background 
In the era of Big Data, data has emerged as a critical 
resource in various industries. However, as data is often owned 


by multiple parties and distributed across different sources, 
privacy concerns arise when it comes to collaborative processing. 
Though sharing data between different entities can lead to 
greater value, the fear of privacy breaches often hinders such 
collaborative initiatives. Secure multiparty computation offers 
a solution to these issues by ensuring both the confidentiality 
of the input data and the accuracy of the final computation. 
By using protocols that don’t involve a third party, this 
technique guarantees that the input data of all participants in 
the computation remains undisclosed, while at the same time 
enabling secure collaboration. 

The problem of secure two-party comparison, which is 
a fundamental issue in secure multiparty computation, was 
originally presented by Yao. The two participants, Alice and 
Bob, with x and y as inputs, jointly execute the comparison 
function f(x,y) in a way that does not reveal their respective 
inputs, and obtain the comparison results ua and up, respectively, 
ie. (ta,un) < f(x,y). 
solutions to secure two-party comparison have been discovered 


After its proposal, efficient 


include trusted computing, secure computation, and public-key 
cryptography. 
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by researchers and applied in various fields, including secure 
sorting problems, interval proofs, and more. However, previous 
research has primarily focused on enhancing the efficiency of the 
protocol, neglecting the crucial concern of ensuring that Alice 
and Bob consistently obtain the same comparison result, such 
that ua = uy always holds. 

In this paper, we first propose a new paradigm for secure 
two-party comparison to solve the problem. Using the threshold 
Paillier cryptosystem, we develop a secure two-party comparison 
protocol that satisfies the new paradigm to ensure wa = Ub. 
We demonstrate the security of the protocol under semi-honest 
conditions using a simulation paradigm, and prove that the 
protocol is resistant to chosen-plaintext attack. Experimentally, 
we compare existing secure two-party comparison schemes 
based on garbled circuits, homomorphic encryption and secret 
sharing. Theoretical analysis and experimental results show 
that our approach is computationally more efficient than existing 
protocols and guarantees ua = Up. 
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